贵州农信网络规划交流课件.pptx

1、贵州农信网络规划交流贵州农信网络规划交流n 网络规划设计方法n 两地三中心网络规划概要设计目录目录Customer Profile业务架构IT架构应用架构数据架构基础设施架构技术最佳实践行业发展趋势技术发展趋势IT基础架构规划架构落地实施参考模型网络设计方法自顶而下总体设计业务战略IT需求技术趋势架构规划目标演进路线GA、CRD广域网架构总体设计现状评估最佳实践数据中心架构总体设计业务连续灾备/双活安全架构设计虚拟化企业私有云详细设计两地三中心数据中心行业趋势双活数据中心基础设施与布线架构功能分区设计服务器/VM接入 存储网络设计可靠性评估与计算安全规划与部署DC互联与大二层设计QoS规划与设

2、计骨干网健壮性量化评估业务带宽与链路选择多级骨干网扁平化策略与设计关键业务多活部署策略 服务器/VM集群架构 SAN扩展与数据复制 LAN扩展与二层互联站点选择与网关设计 网络设计方法从需求到方案pH3C网络架构规划的方法论基于企业架构（EA,Enterprise Architecture），从企业的业务架构出发，推导适应业务发展的IT支撑能力。通过对数据架构、应用架构、技术架构的调研及分析，明确网络的目标以及基线架构，根据差距分析制定解决方案，完成网络架构规划设计。pH3C采用的框架模型为在当前国内外大型金融机构采用的Togaf V9模型。网络规划设计方法围绕需求展开预构建柔性软件定义低PU

3、E敏捷XX行重点关注需求网络通用关注需求灵活可扩展可管理性能高可用设计需求两地三中心架构项目范围高可用性高可用性广域网架构数据中心架构运维管理业界技术发展方向SDN融合架构最佳实践网络现状现有业务架构现有网络架构现有基础设施状况物理与逻辑分离物理与逻辑分离标准化、自动化标准化、自动化动态调整、灵活部署动态调整、灵活部署资源统一调配资源统一调配网络设计策略高可用性性能可管理性可扩展性安全性灵活性网络资源网络资源网络分析常用要素n 网络规划设计方法n 两地三中心网络规划概要设计 两地三中心整体设计 广域网规划设计 数据中心规划设计 网络管理规划设计目录目录全行一朵云与统一资源池两地三中心分布式多中

4、心灾难备份系统的建设专用备援系统用于紧急状态的恢复降低灾难风险对业务的影响加强生产的安全等级致力实现业务系统无缝切换消除应用应急带来的风险与损失数据中心间实现负载分担单中心具有全业务承载能力多中心持续建设目标-分布式多活数据中心单纯灾备灾备与负载均衡 主备中心双活（多活）融合 满足RPO满足RPO，最小RTO 资源固化全局资源池化灵活调配 人工管理资源调度自动化 多个跨地域的分布式虚拟化数据中心地理分散的多个“云”网络的平台化地位日益重要强调风险管控，多中心持续建设与业务平滑切换基础设施双活前端业务双活后端数据双活p 灾备：4-5级（暖备）p 特征：特定业务同一时刻在单数据中心处理，网络具有接

5、替能力；把不同业务分在不同的数据中心可提高资源利用率；p 应用为A/S模式，DC间切换需要手工干预；p 灾备：5-6级（热备）p 特征：前端服务器（Web/App）双活，服务器通常采用集群，需要心跳与DCI，可实现服务器集群跨中心自动切换；p 重点：集群设计、路由规划规划和DNS；p 灾备：5-6级（双活）p 数据层（DB/存储）双活：数据库跨中心双活部署，或存储跨中心实时复制；p 技术复杂度与成本高，对业务处理能力有影响p 部署的最大限制在于距离和带宽（实际部署限于城域）双活的层级与业务连续性分布式数据中心业务运行状态主备模式（Active-Standby）特点：u生产中心完成所有的数据更新

6、的业务u通过数据复制技术将数据复制到灾备中心u灾备中心除了承担灾备的任务仅利用有限的资源完成一定的查询业务u灾备中心不进行需要数据更新的业务u备份中心的主机平时处于“备份”状态混合双活（Active-Active Hybrid）特点：u双生产中心均需要完成数据更新的业务u通过数据复制技术将数据复制到对方u通过业务模块或用户的方式将业务分配到不同的中心u平时主要的处理能力均分配给生产应用系统使用u出现灾难时，根据需要接管的方式，动态调度资源给备份系统使用u备份中心的主机平时处于“备份”状态，但主要的资源均动态分配给生产系统使用。没有完全闲职的设备双活（Active-Active）特点：u业务或用

7、户按照服务需求（OnDemand）将业务分配到不同的中心u平时主要的处理能力均分配给不同的中心u跨双生产中心建立共享的资源访问方式u跨双生产中心建立高可用性集群u通过数据复制技术将数据镜像到对方u出现灾难时，根据需要接管的方式，按照当前的业务状态动态调度服务和资源（Business Resiliency)u所有的中心、主机和存储设备均处于生产状态和实现负载分担生产中心灾备中心生产中心灾备中心生产中心灾备中心业务 A业务A业务 A业务 A业务 A业务 B业务 B业务 Bl P1P5:P1P5的目标部署架构为稻香湖、洋桥和武汉南湖A-A-A模式部署，并对外提供服务。每个站点负责不同区域或渠道的业务

8、接入，各站点之间互为交叉备份关系，可进行快速接管。l P6P8:P6/P7/P8的目标部署架构为稻香湖、洋桥、武汉南湖实现A-Q-S模式部署。l P9P12:为就近利用产品服务层灾备数据，P9P12的目标部署架构为武汉南湖、稻香湖实现A-S模式部署。分布式数据中心业务运行状态-举例双活需求分解与技术框架双活需求分解业务双活基于DNS前端双活DB数据库双活数据同步复制Internet选择Web/App双活Intranet选择ISP DNSGSLB基于IP路由规划容灾半径决定技术可行性网关设计VRRP设计主机路由注入RHI/NQALISP负载均衡VIP分布式部署数据异步复制城域异地应用系统访问模式

9、影响技术选择是否是相同IP影响技术路线相同IP不同IP跨中心二层通信脑裂仲裁节点手工切换多数派存活EVI分布式数据中心建设概览同城灾备中心:u生产中心和灾难备份中心距离比较近，比较容易的实现数据的同步镜像，可以保证数据完整性和数据零丢失u可以防范火灾、建筑物破坏等可能遭遇的风险隐患，但对于战争、地震、水灾等隐患力不从心异地备份中心：u生产中心和备份中心跨城域，距离比较远u通过异步镜像/复制备份数据无法保证数据零丢失u如果远距离同步镜像，则交易效率太低、通信成本很高两地三中心：u结合同城异地的优点u在异地备份中心具有完整的灾难接管能力的情况下，建立同城备份站点，可使同城灾备中心具有应用接管能力u

10、也可以让同城灾备中心只是一个同步数据镜像站点生产中心同城灾备中心生产中心异地备份中心生产中心同城灾备中心异地备份中心两级多中心架构：u总部与区域两级架构，总部级数据中心互为主备，同时做为区域级中心的异地容灾中心，区域级数据中心作为生产中心，共享总部级异地灾备，保证灾难接管的能力，同时降低成本u跨城域远距离容灾，异步复制/镜像数据级无法保证数据零丢失，同步镜像成本高区域级数据中心总部级数据中心区域级数据中心区域级数据中心区域级数据中心总部级数据中心总部级数据中心n 网络规划设计方法n 两地三中心网络规划概要设计 两地三中心整体设计 广域网规划设计 数据中心规划设计 网络管理规划设计目录目录应用架

11、构发展推动广域网架构演进应用架构Messaging Backbone孤立应用简单互联Enterprise Application Integration(EAI)Enterprise Service Bus虚拟化、云计算网络架构两地三中心核心承载网大集中互联互通平台化虚拟化、层次化核心承载网网络基础设施迈向两地三中心与云网融合网络支持虚拟化、灵活扩展架构传统银行核心应用基于ESB基础设施转向开放标准架构：X86、虚拟化骨干广域网设计核心任务 广域网架构的可靠性 广域网架构的可扩展性骨干广域网架构的选择骨干广域网架构的选择 关键流量的保障 广域链路的充分利用骨干广域网的流量模型骨干广域网的流量模

12、型骨干广域网架构选择需求 核心节点的选择骨干广域网架构的可靠性骨干广域网架构的可靠性 数据中心的分布和定义骨干广域网的可扩展性骨干广域网的可扩展性 是否有业务安全隔离需求骨干广域网架构的其他需求骨干广域网架构的其他需求骨干广域网架构的选择两地三中心架构核心网架构 以核心数据中心为广域网核心节点 整个广域网围绕着核心数据中心建设 适合于核心数据中心较少的场景 核心数据中心的变化会导致广域网的巨大变化 以核心广域网为整个广域网的核心“以不变应万变”的设计思想 适合于多数据中心的场景 核心数据中心的变化理论上不会导致广域网的巨大变化骨干广域网流量模型需求 业务的分类 每类业务的详细需求带宽、时延、质

13、量关键业务的保障关键业务的保障 各类业务流程梳理广域网带宽的充分利用广域网带宽的充分利用骨干广域网流量模型设计-传统设计PE3PE1PPE4PE2PCE1CE2CE3CE4AS 65000AS100AS200eBGPeBGPiBGP+IGP控制如何进入核心网控制如何在核心网内传递控制如何进入核心网RRR3R1R4R2SW1SW2SW3SW4AS100AS200eBGP控制出口路由器的选择控制选择具体的广域网链路控制出口路由器的选择IGPIGP20M20M40M40M10M10M10M100MWAN SDN 精细、灵活、动态流量调度智能路径管理：关键业务保障 自动流量优化 自动分流 自动故障避免

14、 SLA精细流量调度 全网流量优化应用场景（一）：自动流量优化15M30M20M20M40M20M10M10M10M100M应用场景（二）：自动分流20M20M5M?20M20M40M40M10M10M10M100M应用场景（四）：关键业务保障20M20M40M40M10M10M10M100M应用场景（四）：自动故障避免优质链路45M15M高优先级视频高优先级视频面向业务的RESTful API接口WAN SDN的实现数据中心数据中心终端用户接入网骨干网DCI网数据中心网络APPs运维APPs3rd APPsH3C iMCOSS/BSS管理编排平台应用网络网络应用全开放场景化全流程端到端可迁移

15、南向标准协议（SNMP/MIB,Openflow,BGP-LS,BGP Flowspec,PCEP,NETCONF,）n 网络规划设计方法n 两地三中心网络规划概要设计 两地三中心整体设计 广域网规划设计 数据中心规划设计 网络管理规划设计目录目录数据中心内网络的划分数据库心跳网络，主机双机HA心跳网络数据抽取用于大数据分析/数据备份带外管理网，多数据中心统一运维FC网络、Server SAN需要的IP网络，FCIP网络等数据中心中都哪些地方需要网络数据中心内各类资源的接入服务资源接入服务资源接入链路资源接入链路资源接入终端终端资源接入资源接入核心业务系统外围生产系统BI类系统办公类系统业务终

16、端办公终端管理终端广域网专线外联专线互联网线路VPN线路数据中心内需要完成哪些资源的接入才能发挥作用举例：传统外联区同时具备链路资源接入和服务资源接入的功能商业银行数据中心发展及未来的演进路线DC1.0面临的需求是什么？01可靠性可靠性对网络的需求表现为松耦合的架构，极高的可靠性、故障域的缩小。03安全性安全性建立良好的安全架构，完善安全边界的确定和安全防护方案。02结构结构化的化的扩扩展方展方式式整个数据中心能按照某种既定的结构进行横向的扩展。区域划分方案：分区模式比较 客户端到服务器的访问只要经过一个区域，但同一层服务器之间的互访需要跨区优点：风险分散，一个区域内部故障或变更停机不会影响其

17、他区域承载的业务 扩展性较强，当应用种类增加或者单个区域容量增加时，可以通过横向拆分扩容 可管理性强：便于故障定位和应急 低时延：同一应用各层服务器之间的流量在同一个区内缺点：应用层次之间无物理分离模式B：按应用类型分区交换核心业务1DB1App1Web1业务2DB2App2Web2业务3DB3App3Web3 客户端到服务器的访问要经过三个区域，同一层服务器之间的互访可在区域内部完成优点：每个区域只服务于应用逻辑中的一个层面（web/app/sys)，应用层次之间物理分离缺点：风险集中，一个区域内部故障或变更，会影响全部的应用 扩展性较弱，服务器数量较多时，单个区域很快会达到容量上限 可管理

18、性弱，不易进行故障定位和应急模式A：按应用层次分区交换核心WebWeb3Web2Web1AppApp3App2App1DBDB3DB2DB1新一代大型EDC设计趋势：模块化“模块化的数据中心”5种颗粒度的说明(由大到小)Zone 表示数据中心所在城市 Site 表示数据中心的具体位置 Module 表示数据中心的大楼 Cell 表示数据中心内的一个单元，包括存储、计算、网络 POD 表示一组部署IT设备的机柜ZoneSiteModuleCellPodRack Rack 机柜(服务器、网络、存储)“模块化的数据中心”是一种用标准、可重复构建的单元来建设数据中心基础设施的方法其中CELL 与 PO

19、D 是结构化布线及数据中心网络设计的关注重点TIA-942-A定义的架构化布线标准定义的架构化布线标准金融数据中心安全区的划分数据中心网络分区从总体上可分成不同安全级别的四个安全区：非安全区、半安全区、安全区、核心安全区非安全区（对外连接）半安全区DMZ核心安全区安全区安全边界安全边界安全边界不受控制的区域，如对Internet公众用户、外联第三方单位等提供服务的资源区域，企业的安全政策和标准无法强制执行企业内部网到核心安全区、安全区的过渡区域，外部网络和企业内部网络之间的过渡区域，用于分割它们之间的直接联系，隐藏和保护内部资源提供企业内部重要程度一般的服务器和客户端的接入，安全级别较高 安全

20、级别最高，包含了重要的应用服务器，提供关键的业务应用；包含企业网络管理、系统管理、安全管理、流程管理等管理功能相关的模块所集中的区域，具有很重要的意义，需要严格的安全策略；从外部网络到核心安全区域应通过半安全区进行转发，必须经过严格的安全控制传统数据中心安全架构互联网接入区公众用户VPN维护用户VPN办公用户合作伙伴外联网接入区合作伙伴外联DMZ专线VPN网关办公VPN网关维护网银、手机银行电商DMZ门户网站DMZ员工上网DMZ其他系统DMZ入侵防护防DDOS防病毒网关Internet园区网广域接入OA生产其他总部机构同城及异地中心分支机构运维管理服务区安全管理流程管理ECC堡垒机带外管理其他

21、业务三区办公应用决策应用其他业务二区非核心系统业务一区核心业务应用服务器业务处理体系渠道体系非安全区半安全区安全区核心安全区核心交换区内联区前置系统核心业务区核心业务系统密钥管理平台数据总线渠道管理平台会计处理平台资金运营中间业务代理理财重要业务区决策支持系统风险分析系统管理网区视频监控视频会议系统运维区安全管理平台网管系统广域网接入区省际骨干接入互联网接入区外联区DMZ1DMZ2DMZ3DMZ1DMZ2办公管理区资产管理系统准生产区准生产系统测试区测试系统培训环境数据中心互联带外管理区金融网Internet第三方接入第三方接入测试网安全服务安全服务安全服务安全服务安全服务安全服务安全服务安全

22、服务安全服务安全服务安全服务互联网接入外联接入案例：XX银行数据中心网络架构 A08-A08-1818A A机房布局机房布局A08-A08-1010A08-A08-0909A08-A08-0101A07-A07-1818A07-A07-1010A07-A07-0909A07-A07-0101A06-A06-0808A06-A06-0707A05-A05-1616A05-A05-1212A05-A05-0909A05-A05-0808A05-A05-0707A04-A04-0808A04-A04-0707A03-A03-1010A03-A03-0909A03-A03-0101A02-A02-18

23、18A02-A02-1010A02-A02-0909A02-A02-0101A01-A01-1818A01-A01-1010A01-A01-0909A01-A01-0101A06-A06-0606A06-A06-0505A05-A05-0606A05-A05-0505A06-A06-0404A06-A06-0303A05-A05-0404A05-A05-0303A06-A06-0202A06-A06-0101A05-A05-0202A05-A05-0101机机架架服服务务器器x5x5刀刀片片机机x3x3机机架架服服务务器器小小型型机机机机柜柜机机架架服服务务器器小小型型机机机机柜柜小小型型机机

24、机机柜柜机机架架服服务务器器小小型型机机机机柜柜机机架架服服务务器器x5x5刀刀片片机机x3x3机机架架服服务务器器x5x5刀刀片片机机x3x3机机架架服服务务器器x5x5刀刀片片机机x3x3机机架架服服务务器器x5x5刀刀片片机机x3x3机机架架服服务务器器x5x5刀刀片片机机x3x3机机架架服服务务器器x5x5刀刀片片机机x3x3A04-A04-0606A04-A04-0505A04-A04-0404A04-A04-0303A04-A04-0202A04-A04-0101A03-A03-1212A03-A03-1111A03-A03-1414A03-A03-1313A03-A03-1616

25、A03-A03-1515A06-A06-1414A06-A06-1313A06-A06-1212A06-A06-1111A06-A06-1010A06-A06-0909铜缆铜缆三三相相电电存存储储区区三三相相电电存存储储区区三三相相电电存存储储区区空调侧空调侧带带库库机机柜柜A04-A04-1313A04-A04-1515A04-A04-1414A04-A04-1212综合布综合布线线综合布综合布线线综合布综合布线线综合布综合布线线综合布综合布线线综合布综合布线线综合布综合布线线扩扩展展B B路路DCDCX XDCXDCX扩扩展展A A路路DCDCX XDCXDCX新新网网银银A AP PP

26、P新新网网银银D DB B新新网网银银W WE EB B新新网网银银W WE EB B扩扩展展新新网网银银A AP PP P新新网网银银D DB B新新网网银银A AP PP P扩扩展展新新网网银银扩扩展展走廊侧走廊侧统一统一考核考核VMAXVMAXDC1.0 数据中心机房典型分配方式DC2.0面临的需求是什么01灵灵活性活性服务器虚拟化的带入完成了逻辑业务与物理服务器的解耦和。03性能性能压压力力服务器资源的充分利用以及高密接入，对于网络的性能压力也会越来越大。02标标准化高密接入准化高密接入大量应用系统向开放的X86服务器转型，网络架构具有大规模网络接入的能力。网络资源池化设计网络资源池化

27、设计物理资源与逻辑资源物理资源与逻辑资源1:N映射映射基于资源池的数据中心打破物理资源与逻辑资源1:1的映射关系。一个PoD可以服务于多个Service Zone。最理想的目标即实现“任意服务器，部署于任意机架，为任意业务提供服务”业务区域与基础设施的松耦合。这种共享模式的故障域范围较大，一个PoD为多种业务服务，PoD设备的故障会导致多种业务受到影响。共享模式平滑扩展能力强。网络的资源池化设计网络的资源池化设计管理网接入交换机生产网接入交换机生产网FC交换机X86Cluster 考虑点考虑点:多少个机柜组成一个POD 设计多少种POD模型 POD里面的服务器集群怎么规划 存储资源是否要出现在

28、POD内部 标准化的标准化的POD设计设计网络的性能的考虑网络的性能的考虑。业务二区业务三区未来扩展。收敛比是多少收敛比是多少各级设备的收敛比选择各级设备的收敛比选择随着服务器利用率的大幅增加，服务器网口的利用率会提升。高密度的X86服务器接入，导致接入层下行接口数量的大幅增加。Hadoop等分布式计算架构的引入会大幅增加网络的东西向流量。服务器网卡进入10G时代，40G/10G的收敛比要小于10G/1G。极端案例：互联网公司的数据中心在SPINE节点的收敛比大部分为1：1计算资源内外联隔离资源池办公管理资源池互联业务资源池服务器机房模块服务器机房模块服务器机房模块互联后台区互联隔离一区互联隔

29、离二区L3汇聚L3汇聚L3汇聚办公服务区管理服务区L3汇聚L3汇聚二层网络二层网络生产后台资源池生产后台区L3汇聚二层网络外联隔离区L3汇聚内联隔离区L3汇聚二层网络电话银行资源池电话银行区L3汇聚二层网络NAS资源池NAS服务区L3汇聚二层网络XX银行同城数据中心服务资源池的划分“资源化”对应机房布局的改变DC3.0面临的需求是什么01融合性融合性网络、计算、存储不再割裂、业务需要IT资源的统一交付。03自定自定义义可以根据需要，灵活的重新定义各个业务所需要的IT资源。02快速自快速自动动化化业务部署所需要的IT资源“0”时间提供。蓝图金融IaaS云业务需要的是一个融合了所有基础架构资源的云

30、云平台计算存储网络-SDNOverlay SDNVLAN SDN强控制、强管理弱控制、强管理OpenflowOVS-DBNETCONFMP-BGPVXLAN云-SDN技术分解基础架构管理平面（运维平台）云&租户管理平面（业务平台）VCF FabricH3C Data Center 基础网络架构OpenStackOpen Source Cloud OSH3C CloudOpenStack Based可视化自动化软件定义面向应用分布式VCF Fabric DirectorH3C Data Center 基础设施管理平台Overlay数据中心 AEVPN数据中心 BSpineLeafBorderSp

31、ineBorderLeafEVIH3C SDN整体解决方案强控制模型-基于Controller的控制平面n基于Controller的控制平面n若VTEP是虚拟设备，Controller从VM Manager和vSwitch获取VTEP及下挂VM IP/MAC信息n若VTEP是物理设备，Controller和所有VxLAN ED设备建立连接关系，获取VTEP及下挂VM IP/MAC信息nVTEP第一次收到数据报文，上送给Controller，Controller确定VxLAN隧道信息，下发流表到VTEP，VTEP封装VxLAN报文转发n流表在VTEP上可以定期老化，达到动态建立隧道的效果，节省表

32、项资源CoreCoreAggAggRouterRouterAccessAccessAccessAccessAccess ToR设备实现VTEP，把报文封装为VxLAN格式 核心设备实现VxLAN IP GW，终结VxLAN报文，并进入L3转发 ToR设备实现VxLAN GW，终结VxLAN报文，实现VxLAN和VLAN网络互通vSwitchVCFC Controller 负责控制平面，下发流表，指导转发VxLAN FabricOpenFlow/NetconfVMManagerCSMn隧道建立和VXLAN关联：利用EVPN的BGP RR实现邻居发现，自动发现VXLAN网络中的VTEP，并在有相同

33、vxlan各VTEP之间自动创建VXLAN隧道，自动关联VXLAN隧道和VXLANn地址同步：利用EVPN 的MP-BGP路由协议完成MAC地址同步、主机路由同步两个功能n标准化：控制面使用EVPN，属于标准协议：RFC 7348+draft-sd-l2vnp-evpn-overlay，RFC7209，RFC7432VxLAN 控制平面：控制平面：EVPN，路由协议，路由协议MP-BGPRRRRLeafLeafLeafEVPN地址同步VXLANNetworkEVPN地址同步VXLAN隧道建立弱控制模型-基于EVPN的控制平面M9KL5K面向私有云-灵活的网络定义能力开户创建网络云主机云存储服务

34、链业务策略插入服务链创建network创建subnet创建vRouter访问目的IP、PORT，进入服务链获取租户UUID选择VM标准选择存储标准创建服务链UUID选择vDC部署业务策略租户租户开通创建网络负载均衡申请防火墙申请创建服务链业务策略创建流分类策略创建服务链UUID关联tenant _id业务节点graph开通租户分配租户UUID创建VXLAN创建网关IP地址创建VLB创建VFW部署vFW、vLB的业务策略创建dstip、po rt的流分类策略，进入服务链IT/DC运维者TenantvDCVMSubnetVMStorageStorageWEBWEBStorageStorageNet

35、workRouterDBNetworkVMOVSVMStorageStorageS6800WEBWEBStorageStorageS12500-XDBvLBvFWS6800OVSS6800OVSvFW逻辑拓扑物理拓扑vLBSubnetH3C SDN+：网络自动化部署设备加电，自动升级版本文件自动配置IRF自动整网路由可达，提供一个IP路由可达的三层网络自动化运行过程拓扑动态显示自动配置过程显示实时部署云平台虚拟资源分配SpineLeafLeafLeafLeafDHCPTFTPVM1VM2Spine云平台虚拟资源分配VXLAN Networkl自动配置：大量设备基础配置依据拓扑自动完成，提供一个

36、IP路由可达的三层网络l可视化：设备上线过程动态拓扑展示l实时部署：面向应用的虚拟网络资源根据用户需求实时分配和部署lEVPN自动配置l隧道自动建立l地址自动同步lVXLAN按需分配当逻辑网络的部署控制权移交后，物理网络各节点高度同质化。当逻辑网络的部署控制权移交后，物理网络各节点高度同质化。安全资源池与服务链vSW/Overlay GWvFWvIPSvLBvSW/Overlay GWVM1VM3灵活自定义服务链源目的SDNFabricOpenstackSDN ControllerVM1VM2Vswitch(内嵌防火墙)Overlay GWVM3VM4VM5VNI:33物理服务器1Vswitc

37、h(内嵌防火墙)Overlay GW物理服务器2安全资源池VFWVLBvFWVIPSVIPSn 服务链的业务模式可以在虚拟化的环境中为每一项业务提供端到端的虚拟安全路径，并将其可视化以便下发和更改。在没有边界的虚拟化网络中，服务链能精确区分业务的安全需求。n 安全资源池为系统的安全资源横向扩容提供了平滑的解决方案。Page 53链路资源接入区域变化趋势链路资源接入区域主要有：外联区、互联网区、广域网区链路资源接入区域主要有：外联区、互联网区、广域网区复杂复杂简单简单混合区混合区单一区单一区为什么要做为什么要做DMZ资源的内移？资源的内移？单点接入单点接入多点接入多点接入用户接入区域设计广域网广

38、域网数据数据中心中心园区网园区网数据数据中心中心终端终端接接入区入区办公互办公互联网区联网区广域网广域网XXXX区区广域广域网网数据数据中心中心园区网园区网生产生产终端终端区区Page 55 带外管理网带外管理网构建覆盖所有服务器和网络设备的带外管理网咯不同接入类型的管理端口共享一个带外管理网络，需要通过访问控制进行隔离。运维管理区运维管理区 运维管理服务器部署在运维管理区，运维管理区和生产网及带外管理网都有网络连接。带外管理网和生产网之间都运行独立的路由，相互不能通信。ECC终端终端 ECC终端分带内终端和带外终端，对ECC终端对带外管理网络的访问需要进行有效的访问控制和授权管理。边界安全边

39、界安全 带外管理网和运维管理区之间，生产网和运维管理区之间，都需要有防火墙等边界安全控制。管理网络架构设计：半独立的管理网管理网络架构设计-完全独立的管理网 管理网完全独立管理网完全独立运维管理区完全独立于数据中心，随着运维管理地位的提升，运维管理区可以提升为运维管理中心；带外管理网扔依托数据中心存在，并通过带外管理网的广域网与运维管理区连接。数据同步网络架构设计低时延低时延高可靠性高可靠性IBIB网络网络10G10G网络网络存储网络架构设计传统传统FCFC存储网络存储网络Server SANServer SAN网络网络多副本架构会导致某些多副本架构会导致某些时间网络内存在很大的时间网络内存在

40、很大的东西向流量东西向流量FCoeFCoe存储网络存储网络简化简化接入层的布线结构接入层的布线结构各个网络的融合业务网业务网数据同步网数据同步网存储网存储网数据备份网数据备份网管理网管理网业务网业务网管理网管理网多网合一多网合一应急管理应急管理数据中心间各网络的连接业务网业务网数据同步网数据同步网存储网存储网数据备份网数据备份网管理网管理网三层连接三层连接二层连接二层连接独立通道独立通道EVIEVIVLANVLAN互联互联n 网络规划设计方法n 两地三中心网络规划概要设计 两地三中心整体设计 广域网规划设计 数据中心规划设计 网络管理规划设计目录目录多中心统一管理l网络管理中心作为逻辑中心存在

41、（物理资源在多中心均有部署）；l网络管理中心对三个数据中心进行统一的管理；A中心B中心C中心分散的网络管理物理资源部署物理资源分散部署各中心分别部署管理资源各中心管理资源相互备份管理人员在各中心分散布置管理接入端在各中心布置统一的网络管理体系统一的网络管理体系网络管理系统统一网络管理组织架构统一网络管理的流程统一65故障监控和快速处理网络状态的实时掌握应用流量分析与展示全网流量分析与管理丰富多样的业务展现方式智能化的SDN网络业务编排部署策略网络/主机/存储融合统一的云平台统一调度管理当前的网络管理平台下一代的网络管理平台未来的管理平台设备管理拓扑管理流量管理SDN的集成业务部署管理云资源融合

42、从具体的网元管理向着业务编排发展网络管理平台的演进-管理内容的变化运行运行运维运维运营运营网络运维网络运维发展阶段发展阶段运维质量运维质量以事件为核心以事件为核心的网管系统的网管系统自动拓扑和逻辑拓扑SNMP/ICMP/SSH/TelnetSyslog/Trap智能分析与压缩事件整合与归并网络性能流量分析综合分析报表综合监控视图事件和故障管理以以CMDB为核心的信息为核心的信息平台平台统一的统一的ITSM流程管理平台流程管理平台统筹管理资产和配置信息库，确保数据的唯一性、准确性构建反映应用和基础架构的映射关系基于拓扑关系和数据流的业务影响分析以自动化为核心以自动化为核心的云服务运营管理平台的云服务运营管理平台自动服务平台服务目录资源自动部署安全审计与合规统计与计费 服务水平管理运维的发展THANK YOU！